谷歌停止修補舊版Android漏洞 60%用戶面臨威脅

新浪科技訊 北京時間1月13日早間消息，一位安全專家表示，谷歌已經停止為Android 4.4“奇巧”以前版本的系統修補核心組件漏洞。他呼籲該公司重新考慮這一政策，因為此舉會導致60%的Android用戶面臨潛在威脅。

本周一，安全廠商Rapid7工程經理托德·比爾茲利(Tod Beardsley)表示，谷歌安全團隊宣佈將不會修復Android 4.3“果凍豆”或更早版本系統中的WebView漏洞。

WebView是一個作業系統核心組件，用於支持“果凍豆”中的Android瀏覽器(谷歌在“奇巧”系統中用Chrome取代了這款瀏覽器)，而在奇巧及更早版本的系統中還可以被顯示網頁的應用調用。

“所有應用都會用WebView來渲染網頁或基於網頁的內容，例如應用內置廣告。”比爾茲利，“WebView是Android的一個攻擊途徑，這是Android與互聯網溝通的渠道。如果我是攻擊者，我會在網站上找到利用WebView的方法，然后引誘人們點擊。”

比爾茲利表示，他在去年10月中旬向谷歌提交了一個與WebView有關的漏洞后，收到的回復是：“我們不再修補WebView漏洞。”而短短兩周前，谷歌還曾迅速修補了類似的漏洞。

比爾茲利對這一做法感到震驚。但谷歌並未對此置評。

比爾茲利指出，Android擁有龐大的裝機量，而受此影響的用戶在Android裝機量中的占比超過60%。他還批評谷歌沒有明確表示將支持或不支持“果凍豆”的哪些組件。

事實上，蘋果也曾遭遇過類似的指控，因為該公司並沒有明確透露各個版本的OS X和iOS系統將獲得多長時間的支持。雖然iOS並沒有明確支持時限，而蘋果也很少為舊版iOS修補漏洞，而是告知用戶盡快升級，但該公司通常都會支持好幾代採用最新版iOS系統的設備。

但蘋果與谷歌在系統升級或更新時存在顯著差異，前者直接提供給用戶，而后者卻無法做到，導致大量Android用戶依然採用舊版系統。

比爾茲利還指出，谷歌並沒有對“果凍豆”的所有組件採取相同的政策。例如，當Android安全團隊收到“果凍豆”音樂播放器的漏洞報告時，他們就會進行修補。“這種對不同組件的差異對待將令人困惑。”他。

這會造成部分Android廠商為用戶修復WebView漏洞，但其他廠商卻不會。谷歌表示，雖然該公司不會親自修補這類漏洞，但卻可以接受第三方的補丁，包括設備廠商、運營商甚至安全公司。

比爾茲利稱，他目前還不清楚是否有廠商修補了他發現的WebView漏洞。但他還是強烈呼籲谷歌重新考慮這一政策。(書聿)